一个未打补丁的 VMware Horizon 服务器允许伊朗政府资助的 APT 组织利用 Log4Shell 漏洞,不仅可以破坏美国联邦民用行政部门 (FCEB) 系统,还可以部署 XMRing 加密矿工恶意软件。
FCEB 是联邦政府的分支机构,包括总统行政办公室、内阁部长和其他行政部门。
网络安全和基础设施安全局 (CISA) 的最新消息称,这些机构与 FBI 一起确定了 伊朗支持的威胁组织 能够横向移动到域控制器,窃取凭据,并部署 Ngrok 反向代理以在 FCEB 系统中保持持久性。 CISA 说,这次袭击发生在 XNUMX 月中旬到 XNUMX 月中旬。
“CISA 和 FBI 鼓励所有拥有受影响的 VMware 系统但未立即应用可用补丁或解决方法的组织承担妥协并启动威胁搜寻活动,”CISA 的 违规警报 解释。 “如果根据本 CSA 中描述的 IOC 或 TTP 检测到可疑的初始访问或危害,CISA 和 FBI 鼓励组织承担威胁行为者的横向移动,调查连接的系统(包括 DC),并审计特权帐户。”